扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:佚名 来源:比特网论坛 2008年11月19日
关键字:
你对自己的系统遵守公司安全策略有几成把握?是不是很有把握、以至于觉得没有必要审计呢?事实上,在2008年战略安全调查当中,63%的调查对象表示,他们所在的公司受到政府或行业法规的监管。对他们而言,遵守安全策略不是什么小事情。
确保合规的一个重要方面是,通过活动目录之类的系统来执行策略;可是一旦你设定好了各种规则,就很难确保它们仍然有效——迅速变化的技术意味着基础设施的改动常常超出了IT人员应对变化的能力,从而导致“正式”的公司策略与实际情况之间出现差距。本来就缺乏这种可见性,再加上远程员工和分支机构,这对管理员来说无疑就是噩梦。
回到正轨的第一步就是,根据监管法规来制定相应的安全准则,然后部署活动目录组策略(Active Directory Group Policy)来执行配置——这绝非易事。一旦完成了这一步,IT人员还得证明实现合规。仅仅定义必要的设置是不够的——审计人员期望你能证明规则得到了正确运用。
厂商们声称,新的活动目录合规工具能够评估策略的有效性,并且为IT部门和业务部门增添价值。配置不当的设备更有可能出现安全问题,导致数据暴露在安全漏洞或者内部滥用这些威胁面前。而相对较少的一部分工作站(通常采用非标准设置,以便用户拥有很大的控制权)往往会带来数量众多的病毒和间谍软件事件。
要是任何一项技术承诺有望降低合规成本,同时大大提高安全性,它就要给出让人信服的理由。但与大多数合规软件一样,面对种种炒作,你很难确定其真正价值。每个产品都不一样,你最不需要的就是另一款名不副实的单点工具。
别误会我们的意思——这种工具还是有价值的。不过为了避免掉入这种陷阱:可能给你虚假的安全感,却没有任何实际改进,那么在选购之前就要打好策略方面的基础工作,并且调查分析最新功能。
你还没有工具吗?
正如大型厂商们承认的那样,微软公司的活动目录提供了能够集中管理端点的内置功能。那么,为什么组策略(解决策略和配置管理难题的自带活动目录)就达不到合规的作用呢?
组策略是一种功能强大的工具,用于部署策略设置——微软已在相对易于使用的图形用户界面(GUI)中采用了数千个配置选项;而且每发布一款新的操作系统版本,会另外增加数百个设置。组策略的底层技术相当强大;已定义的控制措施可应用于用户或设备;而且间隔一定时间加以更新。
但是许多问题会阻挡合适的组策略应用,比如无意中损坏了本地安全策略文件,或者有些试图避开控制措施的人故意改动。这些事件仅仅记录在本地桌面或服务器上,但除非你收集日志,集中分析日志以查找错误——考虑到所需的带宽和开销,这项工作不可能在工作站上进行,否则IT人员对情况一无所知。另外,事件日志只有助于检测应用程序问题;它们无法验证控制设置或者报告违反情况。
复杂性也是让人担心的一个问题。策略数量增加后,人们很容易在配置方面出错,无论是策略本身方面的错误,还是运用多层策略时起作用的优先级排序和继承方面的错误。
安全审计厂商Redspin的首席执行官John Abraham说:“你还记得小时候家里控制同一盏灯的两个电灯开关吗?一个开关总是关着,另一个开关总是开着。为了开灯,就要把开着的那个开关按成关着,这不是老让人觉得奇怪吗?活动目录中的组策略设置就是这种情况,只是现在有成百上千个可能的‘开关’。你怎么知道灯是不是开着?”
如果你希望策略包括许多非微软应用程序的设置,情况就更为复杂了。大多数公司仍在运行Windows 2003版本的组策略;要是不开发模板,这个版本的组策略很难轻松指定自定义的注册表设置。
Windows 2008版本给人带来了希望。它添加的一项重要功能就是组策略首选项(GPP)。GPP增加了可用的配置选项数量,而且堵住了旧版本存在的好多漏洞,比如不创建自定义的管理模板,就无法管理注册表设置。GPP代表了PolicyMaker技术的最新版本。
2006年年底,微软收购了组策略扩展领域的领导厂商:DesktopStandard公司,顺便获得了这项技术。幸好,PolicyMaker技术的强大功能完好无损地保留了下来。优秀特性包括:增加了数量的一组预定义配置项可以解决棘手问题,比如本地帐户密码、电源选项、打印机、驱动器映射和环境变量等。
最好的地方是,它实际上就是免费的;你不必把活动目录域升级到Windows 2008版本,就可以开始使用它。你只需要一台安装了Windows 2008的服务器或者安装了Vista的工作站、远程服务器管理工具包,以及部署到现有机器上的一个小小的客户端更新程序。
高级组策略管理(AGPM)更是增强了性能,它具有变更管理、恢复原状和增强型报告等功能。AGPM由DesktopStandard公司的另一款产品GPOVault移植而来。遗憾的是,微软利用该工具来竭力推动人们采用Windows Vista——目前,要得到这项诱人的附加功能,惟一的办法就是获得“微软软件保证桌面优化包(Microsoft Desktop Optimization Pack for Software Assurance)。如果你能满足许可要求,我们强烈建议你利用充分AGPM。
在一些关键领域,连这些新的组策略工具都无能为力,比如审计、端点验证以及对非活动目录计算机的支持。断断续续连接的工作站也带来了难题,比如经常出差的销售人员或在家上班的虚拟专用网(VPN)用户使用的工作站,因为并不总是能够及时地部署设置。报告功能仅限于单独的工作站,必须针对每个设备来手动创建。
结论就是:组策略可能是功能强大的合规武器,但满足不了所有要求。
管理风险,而不是管理工具
随着活动目录策略合规工具数量激增,有效管理将成为一个挑战。审计厂商Redspin公司的首席技术官Brian Hayes表示,他看到一些IT部门购买了太多的监控和报告工具,结果却管理不了。他说:“有时候,拥有太多工具会适得其反。”
有什么解决办法呢?可以运用风险管理原则来指导采购。要不要决定部署一款新工具,取决于有没有有条理的风险管理方法。
弄清楚某款工具适合现有产品组合的情况,这有助于避免“单点产品过多综合症”:在这种混乱状况中,面对一大堆难以管理、又没有很好集成的控制台——它们提供重叠或冗余的功能,IT管理员被搞得晕头转向。
维护一定数量的管理套件是不可避免的,因为没有哪一款产品解决得了所有合规问题,但合理的风险分类有助于确保你的工具箱没有失去平衡。
不会让你失望的一条指导原则就是:策略放在首位。不管你是决定购买一款套件还是利用公司内部的资源,都不要忽视较高层面的治理问题。工具再好,要是没有精心设计、得到管理班子支持的安全策略作为后盾,也没有太大作用。遗憾的是,你在策略方面很可能有工作要做:2008年战略安全调查发现,54%的公司仍没有落实安全策略。
如果你还没有购买这种工具,还是暂时缓一缓为好——你需要证实及制订必不可少的策略框架。一旦你定义了安全策略,就可以完善决定如何部署策略的技术设置。
在这个过程当中,一定要充分利用组策略的功能;而许多公司没有这么做。如果你希望自己的实际安全状况得到明显改善,要做的不仅仅是定义屏幕保护程序超时值、实施基本的密码策略,还要开展更深入的工作。
平息风暴
加强服务器和工作站的安全势必会限制用户的自由,这是一个不可回避的事实。诀窍在于如何在所需的业务功能与最佳的安全设置之间取得平衡。
如果你的新配置会显著加大对工作站的限制,就要确认已得到管理班子的认可,并且根据策略要求来制订技术控制措施,从而对不可避免的强烈反对作好防备。
这时候,风险管理原则可以助一臂之力,因为它们可以提供一种定量的方式来确定哪些控制措施是合理的。
至于获得购买这些工具所需的资金,如果你遵守上司的规定,这可能不成问题。但为了充分利用合规资金,还是需要事先开展调查工作。
不要忽视了大局:全面了解自己的系统在合规方面存在哪些漏洞,从而确定工具适合整体风险管理战略当中的哪些方面。合规方面没有巨大压力的IT部门要获得批准可能比较难——尽管IT部门不断预测可能出现可怕的安全事件,首席财务官们不把这当回事,这是有道理的;所以要采用有条理的方法,证明你选择的产品能够如何应对量化风险。
避免基于假设性的最坏情况场景来计算不明确的投资回报:如果管理班子觉得你的理由有点牵强,你就得不到对方的信任。
单单工具解决不了你在组策略合规方面的难题。但要是打下了稳固的基础,合适的产品就能在满足审计人员的要求、改善端点安全方面起到重要作用。虽然满足合规义务是值得为之努力的目标,但更重要的是获得这样的信心:策略在有效地保护资产。
组策略:取代还是增强?
活动目录合规工具有望提高可见性、简化管理工作,但厂商采用的方法大不相同。大型套件试图满足活动目录或整个企业内部的多项合规需求;而比较有针对性的产品旨在满足网络访问控制、身份管理和日志聚合等特定需求。
致力于组策略的产品一般走两条路线当中的某一条:一条是通过堵住最常见漏洞的扩展来增强组策略,常常辅以增强型图形用户界面和报告功能;另一条是完全用一大批部署和监控工具来取代组策略。
你要决定到底是需要针对组策略的单点产品(IT基础架构中很狭窄但很重要的组件),还是选择一款更全面的合规套件,走更具战略性的道路?你要认真研究一下手头拥有的工具。
如果你愿意费一点劲,就会发现需要的核心功能可能已摆在你面前。资产管理套件往往拥有资产清查和报告功能,稍稍配置一番,就能够收集必要的信息。比方说,微软的系统管理服务器(Systems Management Server)中的“期望配置管理器”(Desired Configuration Manager)功能可以用来按照名为“清单”(manifest)的预定义设置模板,进行审计和报告。
不过要注意:DCM不适合胆小怕事者,如果你还没有升级到系统管理服务器的最新版本:系统中心配置管理器2007(System Center Configuration Manager 2007),更是如此。
附文:按部就班
·下面教你如何在提高端点安全的同时,满足活动目录策略合规需求:
·评估风险。采用有条理的方法来确定威胁的严重程度,首先着眼于最严重的威胁。
·明确定义策略。使用可适用的合规要求,依赖相关方面的最佳实践。
·根据策略来制订技术控制措施。充分利用组策略及其他现有工具来执行设置。
·堵住漏洞。确定是开发还是购买能够处理审计和报告工作的工具。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。